Achtung: vermeintliche Word-Dokumente können bösartige Software ohne Nachfrage nachladen und ausführen! FW: PO#53466702 von Joy Leong ([email protected])
Am Montag, den 19. März 2018 wurden durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Die E-Mail stammt nicht von dem genannten Absender! Besonders gefährlich: bereits beim Öffnen der angehängten Word-Datei wird eine bösartige Datei nachgeladen und ausgeführt. Öffnen Sie daher nicht das Dokument!
Betreff: FW: PO#53466702
Absender: Joy Leong ([email protected])Hi PK
I have attached our PO#53466702/Z62 to your company for the scope of supply as specified on the attached Purchase Order
Thank You & Best Regards,
Joy Leong
Purchasing Administrator
Thales Solutions Asia Pte Ltd
DID: (+65) 6594 6659
Address: 21 Changi North Rise
Singapore 498755
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie daher nicht die Anlage!
PO#53466702.doc
Das Word-Dokument würde wie folgt aussehen:
Error opening doc. Try again
Allerdings wäre zu diesem Zeitpunkt (wenn der Text zu sehen ist) bereits eine bösartige Software nachgeladen und ausgeführt worden.
F20758.exe
Laut Virustotal liegt die Erkennungsrate für die Datei bei 22/65!
Nach der Ausführung trägt sich das Programm in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:
Schlüsselname: HKEY_CURRENT_USER\������Ј��я������ќ��Б��Й���Й��я��
Name: D6C13F
Daten: %APPDATA%\D6C13F\F20758.exe
Schlüsselname: HKEY_USERS\S-1-5-21-2229692433-2410099114-2137066497-1000\������Ј��я������ќ��Б��Й���Й��я��
Name: D6C13F
Daten: %APPDATA%\D6C13F\F20758.exe
Nach der Infektion nimmt das Programm mit der Adresse www.pepedey.com/new/five/fre.php Kontakt auf.
Hallo, habe heute vom selben Absender eine Mail mit einer ZIP-Datei erhalten.